перепутанный, относительно как эти работа открытого идентификатора
Кто-то может объяснить, как они открывают системную работу ID?
Когда пользователь перенаправляет открытому поставщику и проходит проверку подлинности, что поставщик передает обратно инициирующему веб-сайту? Разве это - некоторый зашифрованный текст, который проверяет веб-сайт, или это должно на самом деле общаться с поставщиком открытого идентификатора для проверки?
1 ответ
Если вы заинтересованы во всех деталях горы, вы можете проверить SPEC здесь .
На высоком уровне, хотя это довольно просто (перефразируя здесь из Обзор ):
Сайт перенаправляет пользователя к поставщику OpenID, а также запрос AUTH
Provider Provider пытается аутентифицировать пользователя
Поставщик OpenID перенаправляет пользователь на сайт, а также информацию о том, не удается ли выполнена аутентификация или удалась.
Затем сайт проверяет эту информацию, проверяя некоторые поля, которые она вернулась из ответа, а также выполнение прямого запроса (тот, который не проходит через браузер пользователя) к поставщику OpenID; Все это должно предотвратить подделку и тому подобное
, поэтому шаги одно и два довольно просты, но последние два имеют некоторую сложность. Отклик на этапе 3, в частности, содержит поле «NONECE», которое будет уникальным для запроса и нескольких полей, которые затем проверяют сайт. Эта проверка возникает на шаге четыре, где сделаны несколько проверок. Примечательно, что возвратный URL и подписи.
Конечно, под капотом есть гораздо больше, но если это такая информация, которую вы после того, как спецификация лучшее место для поиска.